Active Directory 연합 개요
온프레미스 CAMServer Enterprise 에서는 Active Directory 협업을 통해 ID 인증이 매우 간편해집니다. 다음과 같은 것이 실현 가능합니다.
- 웹 앱 버전사용하면 로그인 인증 중에 Active Directory 인증 ID가 초기에 표시됩니다.
- ID 인증에 비밀번호없는 인증, OS 비밀번호로 인증 가능
- CAMServer는 Active Directory LDAP 프로토콜을 사용하여 ID 인증이 성공했는지 확인합니다.
Active Directory ID 연동
Active Directory ID 연동을 활성화하면 사용자가 Active Directory 인증을 받으면 로그인 ID가 자동으로 설정됩니다.
로그인 ID를 자동으로 설정할 수 있는 것은 웹 앱 버전 뿐입니다.
인증 방식
이 설정을 저장하기 전에 먼저 LDAP 설정을 완료하고 "LDAP 설정 테스트"를 수행하십시오.
Active Directory ID 연동을 활성화하면 선택적으로 "비밀번호가 없는 인증", "OS 암호 인증"을 선택할 수 있습니다.
※ 인증을 강화하는 경우는 「OS 패스워드 인증」을 선택해 주십시오.
비밀번호없는 인증
AD로그인된 경우에 취득할 수 있는 정보를 암호화하여 인증 토큰으로 하고, 패스워드 없이 서비스 로그인을 가능하게 합니다.이 설정을 활성화하기 전에 "대리 인증을 수행하는 AD 사용자" 설정과 "LDAP 설정 테스트"가 필요합니다.
·이 설정을 활성화하면 웹 앱 버전에서만 액세스할 수 있습니다.
・설정 실수가 있으면 아무도 로그인 할 수 없게 됩니다만, CAMServer/cam.ini 파일에 cam.disableADPasswordless=true 를 설정해, CAMServer 를 기동하면 「패스워드리스 인증」의 설정을 무효화할 수 있습니다. 무효화하고 기동 후, 각종 설정을 재검토해 반드시 「LDAP 설정의 테스트」를 실시 후에 「패스워드리스 인증」을 유효화해 주세요. 활성화 후 cam.disableADPasswordless를 cam.ini 파일에서 지우고 CAMServer를 다시 시작하십시오.
OS 비밀번호 인증
사용자 인증에 있어서 OS의 패스워드로 인증합니다. 사용자를 신규 등록할 때는 임시 적당은 비밀번호를 설정하여 등록하십시오. 다음 흐름에서 인증을 수행합니다.
- 「OS 패스워드 인증」이 성공하면 인증 OK로 하고, C&M상의 등록 패스워드도 덮어쓴다.
- 「OS 패스워드 인증」이 실패하면, C&M 등록시의 패스워드로 인증을 실시한다.
LDAP 설정
LDAPUrl
ActiveDirectory 서버에서 ldap은 기본적으로 389 포트에서 활성화됩니다.
필요한 경우 LDAPUrl에 주소와 포트를 지정하십시오. 공백의 경우 ldap://localhost:389 로 액세스합니다.
LDAPBaseDN
LDAPBaseDN은 LDAP 서버가 가진 오브젝트 트리에서 어떤 하위에서 사용자 검색을 수행하는지 나타내는 값입니다.
공백의 경우 사용자 ID에서 도메인을 찾아 자동으로 설정합니다. 변경하는 경우는 개행을 넣어 복수 입력이 가능합니다. 또한 설정한 경우에도 기본 CN=Users, DC=yourdomain, DC=com이 자동으로 추가됩니다.
예를 들어, user1@camtest.com이라는 사용자를 검색하는 경우 LDAPBaseDN은 "CN=Users, DC=camtest, DC=com"이 되며 기본적으로 검색 대상이므로 지정할 필요가 없습니다. Users 이외의 폴더를 작성해 거기에 유저를 추가했을 경우에 검색 대상으로 하는 경우는 LDAPBaseDN 를 지정합니다.
LDAP 설정 테스트
LDAP 설정을 저장하기 전에 "LDAP 설정 테스트"를 수행하십시오.
Active Directory 동기화 설정
Active Directory 동기화 설정을 사용하면 지정된 시간에 Active Directory에서 정보를 검색하고 Chat&Messenger의 사용자 정보를 업데이트합니다.
업데이트할 정보는 다음과 같습니다.
- 사용자 이름 ... AD의 displayName 속성
- 그룹 이름 ... AD의 department 속성
- Email ... AD의 email 속성
자주 묻는 질문
Active Directory에 없는 사용자를 만들 수 있습니까?
인증 방식으로 "비밀번호 없음"을 선택하지 않으면 Active Directory에 사용자가 없어도 Chat & Messenger의 사용자 관리 화면에서 계정을 만들고 로그인도 가능합니다.
Active Directory와 동기화하여 사용자 추가를 자동화할 수 있습니까?
지금은 Chat & Messenger가 Active Directory 사용자를 기반으로 자동 추가 / 삭제하지 않습니다. 따라서 Active Directory 연결을 사용하도록 설정한 경우에도 관리자가 관리 화면의 사용자 등록 화면 또는 CSV 업로드를 통해 Chat&Messenger 사용자를 만들어야 합니다.
 |  ※ CSV 업로드는 Chat&Messenger 유저의 추가·변경만을 실시해, 삭제는 실시하지 않습니다. 삭제는 관리 화면에서 1건씩 삭제해 주십시오. |
Active Directory 사용자 목록을 얻고 CSV를 만들고 싶습니다.
PowerShell Get-ADUser에서 Active Directory 사용자 목록을 검색할 수 있습니다. 이 목록의 UserPrincipalName 를 Chat&Messenger의 UserID(직장 이메일 주소)로 CSV를 작성하십시오.
> Get-ADUser -Filter {objectClass -eq "user"} -Properties info
DistinguishedName : CN=user1,CN=Users,DC=***,DC=com
GivenName : ユーザ1
Name : user1
ObjectClass : user
ObjectGUID : bf84cdab-2c21-44cf-aaca-afe493d97f2a
SamAccountName : user1
SID : S-1-5-21-3698402442-2374923176-*****-1104
Surname : ユーザ1
UserPrincipalName : user1@***.com
DistinguishedName : CN=user2,CN=Users,DC=***,DC=com
GivenName : user2
Name : user2
ObjectClass : user
ObjectGUID : 482450a4-482a-40ac-b89b-434605f45571
SamAccountName : user2
SID : S-1-5-21-3698402442-2374923176-*****-1105
Surname : テスト
UserPrincipalName : user2@***.com
# AD users のリストを CSVで出力
> $users = Get-ADUser -Filter {objectClass -eq "user"} -Properties UserPrincipalName, GivenName
> $selectedUsers = $users | Select-Object UserPrincipalName, GivenName
> $selectedUsers | Export-Csv -Path "C:\path\to\output\users.csv" -NoTypeInformation